信息安全管理標(biāo)準(zhǔn)BS7799-22002介紹及風(fēng)險(xiǎn)評(píng)估

1、.：.；信息平安管理規(guī)范BS7799-2:2002引見及風(fēng)險(xiǎn)評(píng)價(jià)Information Security Management Standard BS7799-2:2002 AND Risk Assessment山東科飛管理咨詢公司 王毅剛 吳昌倫摘要：引見了信息平安管理體系規(guī)范的開展及2002年9月5日英國規(guī)范委員會(huì)BSI正式發(fā)布的信息平安管理規(guī)范BS7799-2:2002，著重引見了規(guī)范改版的緣由及其與其他管理規(guī)范的相容性。對(duì)于建立信息平安管理體系的重點(diǎn)部分-風(fēng)險(xiǎn)評(píng)價(jià)，也作了簡要地引見。一、BS7799信息平安管理體系規(guī)范的開展隨著在世界范圍內(nèi)，信息化程度的不斷開展，信息平安逐漸成為人們關(guān)

2、注的焦點(diǎn)，世界范圍內(nèi)的各個(gè)機(jī)構(gòu)、組織、個(gè)人都在探尋如何保證信息平安的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關(guān)信息平安的本國規(guī)范，國際規(guī)范化組織(ISO)也發(fā)布了ISO17799、ISO13335、ISO15408等與信息平安相關(guān)的國際規(guī)范及技術(shù)報(bào)告。目前，在信息平安管理方面，英國規(guī)范BS7799曾經(jīng)成為世界上運(yùn)用最廣泛與典型的信息平安管理規(guī)范，它是在BSI/DISC的BDD/2信息平安管理委員會(huì)指點(diǎn)下制定完成。BS7799規(guī)范于1993年由英國貿(mào)易工業(yè)部立項(xiàng)，于1995年英國初次出版BS 7799-1：1995，它提供了一套綜合的、由信息平安最正確慣例組成的實(shí)施規(guī)那么，其目

3、的是作為確定工商業(yè)信息系統(tǒng)在大多數(shù)情況所需控制范圍的獨(dú)一參考基準(zhǔn)，并且適用于大、中、小組織。1998年英國公布規(guī)范的第二部分，它規(guī)定信息平安管理體系要求與信息平安控制要求，它是一個(gè)組織的全面或部分信息平安管理體系評(píng)價(jià)的根底，它可以作為一個(gè)正式認(rèn)證方案的根據(jù)。BS7799-1與BS7799-2經(jīng)過修訂于1999年重新予以發(fā)布，1999版思索了信息處置技術(shù)，尤其是在網(wǎng)絡(luò)和通訊領(lǐng)域運(yùn)用的近期開展，同時(shí)還非常強(qiáng)調(diào)了商務(wù)涉及的信息平安及信息平安的責(zé)任。2000年12月，BS7799-1：1999經(jīng)過了國際規(guī)范化組織ISO的認(rèn)可，正式成為國際規(guī)范-ISO/IEC17799-1：2000。2002年9月5日

4、，BS7799-2:2002草案經(jīng)過廣泛的討論之后，終于發(fā)布成為正式規(guī)范，同時(shí)BS7799-2:1999被廢止。如今，BS7799規(guī)范已得到了很多國家的認(rèn)可，是國際上具有代表性的信息平安管理體系規(guī)范。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已贊同運(yùn)用該規(guī)范；日本、瑞士、盧森堡等國也表示對(duì)BS7799規(guī)范感興趣，我國的臺(tái)灣、香港也在推行該規(guī)范。許多國家的政府機(jī)構(gòu)、銀行、證券、保險(xiǎn)公司、電信運(yùn)營商、網(wǎng)絡(luò)公司及許多跨國公司已采用了此規(guī)范對(duì)本人的信息平安進(jìn)展系統(tǒng)的管理。截至2002年9月，全球共有142家各類組織經(jīng)過了BS7799信息平安管理體系認(rèn)證。二、BS7799-2:2002簡介200

5、2年9月5日，BSI發(fā)布了最新版的BS7799-2：2002規(guī)范, 新版的規(guī)范構(gòu)造如下：0 引言1范圍2 援用規(guī)范3 術(shù)語及定義4 信息平安管理體系5 管理職責(zé)6 資源管理7 ISMS評(píng)審8 改良可以看出BS7799-2:2002規(guī)范構(gòu)造上的修訂，更加貼近ISO9001:2000，更好的采用了過程的方法，利用PDCA的循環(huán)不斷改良信息平安管理體系，這也是BS7799-2:2002與BS7799-2:1999的一個(gè)重要的差別。以下是規(guī)范改版的動(dòng)因:修訂BS7799第二部分規(guī)范，主要是為了：與其它管理體系規(guī)范協(xié)調(diào)一致，例如ISO9000和ISO14001；引入并運(yùn)用PDCA方案、實(shí)施、檢查、措施過

6、程方式，以建立、實(shí)施組織的信息平安管理體系，并繼續(xù)改良其有效性。圖1 BS7799-2:2002信息平安管理體系規(guī)范作為體系認(rèn)證的獨(dú)一參考規(guī)范，其修訂版中有以下幾個(gè)突出的部分：1、規(guī)范第4節(jié)到第7 節(jié)規(guī)定了基于PDCA過程方式的信息平安管理體系。這是對(duì)包含在1999版第3節(jié)中的過程的擴(kuò)展。2、1999版第4節(jié)中的控制目的和控制方式在規(guī)范附錄A中表述。附錄包含的控制目的與控制方式ISO/IEC17799：2000。3、規(guī)范附錄B中提供了修訂版的解釋和運(yùn)用指南。4、規(guī)范附錄C中列出了BS7799-2:2002、ISO9001:2000和ISO14001:1996個(gè)章節(jié)之間的對(duì)應(yīng)關(guān)系。5、修訂過程中

7、，將適用性聲明SoA的定義從主要內(nèi)容中刪除，在附錄B參考附錄B1.4中添加了適用性聲明的概念，以及對(duì)控制概要的了解。另外，為了與其它管理體系規(guī)范堅(jiān)持一致，內(nèi)容中還添加了范圍的界定，關(guān)于規(guī)范要求的排除，以及與規(guī)范符合的聲明。BDD第3小組與BS7799國際用戶組織IUG為了包括國際方面的要求特制定了本修訂版。此次指定是以不同國家的專家和組織的文獻(xiàn)為根底，并由不同國家的專家和組織評(píng)審和討論這些文獻(xiàn)。三、BS7799-2:2002與ISO9001:2000及ISO14001:1996的對(duì)比ISO9001:2000、ISO14001:1996與BS7799-2:2002章節(jié)間的對(duì)應(yīng)關(guān)系四、信息平安管理

8、體系建立的重要環(huán)節(jié)-風(fēng)險(xiǎn)評(píng)價(jià)組織實(shí)施BS7799的目的應(yīng)該是按照先進(jìn)的信息平安管理規(guī)范建立完好的信息平安管理體系ISMS并實(shí)施與堅(jiān)持，到達(dá)動(dòng)態(tài)的、系統(tǒng)的、全員參與、制度化的、以預(yù)防為主的信息平安管理方式，用最低的本錢，到達(dá)可接受的信息平安程度，從根本上保證業(yè)務(wù)的延續(xù)性。 BS7799-2:2002規(guī)范條款4.2.1謀劃過程要求組織建立信息平安管理體系應(yīng)該Shall定義風(fēng)險(xiǎn)評(píng)價(jià)的系統(tǒng)性方法、識(shí)別風(fēng)險(xiǎn)、進(jìn)展風(fēng)險(xiǎn)評(píng)價(jià)、識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處置的方法、為風(fēng)險(xiǎn)的處置選擇控制目的與控制方式。作為體系的謀劃過程，風(fēng)險(xiǎn)評(píng)價(jià)方法的科學(xué)性、系統(tǒng)性以及其評(píng)價(jià)結(jié)果的質(zhì)量很大程度上決議了ISMS的勝利建立，及它對(duì)組織的價(jià)值。

9、1 風(fēng)險(xiǎn)評(píng)價(jià)的根本概念與風(fēng)險(xiǎn)評(píng)價(jià)有關(guān)的概念要挾(Threat)：是指能夠?qū)Y產(chǎn)或組織呵斥損害的事故的潛在緣由。薄弱點(diǎn)(Vulnerability)：是指資產(chǎn)或資產(chǎn)組中能被要挾利用的弱點(diǎn)。風(fēng)險(xiǎn)(Risk)：特定的要挾利用資產(chǎn)的一種或一組薄弱點(diǎn)，導(dǎo)致資產(chǎn)的喪失或損害的潛在能夠性，即特定要挾事件發(fā)生的能夠性與后果的結(jié)合。風(fēng)險(xiǎn)評(píng)價(jià) (Risk assessment)：對(duì)信息和信息處置設(shè)備的要挾(threat)、影響(impact)和薄弱點(diǎn)(vulnerability)及三者發(fā)生的能夠性的評(píng)價(jià)。與風(fēng)險(xiǎn)管理有關(guān)的概念風(fēng)險(xiǎn)管理 (Risk management)：以可接受的費(fèi)用識(shí)別、控制、降低或消除能夠影響

10、信息系統(tǒng)的平安風(fēng)險(xiǎn)的過程。風(fēng)險(xiǎn)管理是一個(gè)識(shí)別、控制、降低或消除平安風(fēng)險(xiǎn)的活動(dòng)，經(jīng)過風(fēng)險(xiǎn)評(píng)價(jià)來識(shí)別風(fēng)險(xiǎn)大小，經(jīng)過制定信息平安方針，采取適當(dāng)?shù)目刂颇康呐c控制方式對(duì)風(fēng)險(xiǎn)進(jìn)展控制，使風(fēng)險(xiǎn)被防止、轉(zhuǎn)移或降至一個(gè)可被接受的程度。在風(fēng)險(xiǎn)管理方面應(yīng)思索控制費(fèi)用與風(fēng)險(xiǎn)之間的平衡。平安控制Security control：降低平安風(fēng)險(xiǎn)的慣例，程序或機(jī)制。剩余風(fēng)險(xiǎn)(Residual risk )：實(shí)施平安控制后，剩余的平安風(fēng)險(xiǎn)。2風(fēng)險(xiǎn)評(píng)價(jià)根本步驟風(fēng)險(xiǎn)評(píng)價(jià)可以明確平安需求及確定真實(shí)可行的控制措施,全面系統(tǒng)的風(fēng)險(xiǎn)評(píng)價(jià)是實(shí)施有效的風(fēng)險(xiǎn)管理的根底,風(fēng)險(xiǎn)評(píng)價(jià)應(yīng)思索的要素包括:* 信息資產(chǎn)及其價(jià)值；* 對(duì)這些資產(chǎn)的要挾，以及它

11、們發(fā)生的能夠性；* 薄弱點(diǎn)；* 在適當(dāng)?shù)牡胤接煽刂扑峁┑木S護(hù)；風(fēng)險(xiǎn)評(píng)價(jià)的根本步驟為：* 按照組織商務(wù)運(yùn)作流程進(jìn)展資產(chǎn)識(shí)別，并根據(jù)估價(jià)原那么對(duì)資產(chǎn)進(jìn)展估價(jià)；* 根據(jù)資產(chǎn)所處的環(huán)境進(jìn)展要挾識(shí)別與評(píng)價(jià)；* 對(duì)應(yīng)每一要挾，對(duì)資產(chǎn)或組織存在的薄弱點(diǎn)進(jìn)展識(shí)別與評(píng)價(jià)；* 對(duì)已采取的平安控制進(jìn)展確認(rèn)；* 建立風(fēng)險(xiǎn)丈量的方法及風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)原那么，確定風(fēng)險(xiǎn)的大小與等級(jí)。3風(fēng)險(xiǎn)評(píng)價(jià)與管理方法在風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)管理方法被運(yùn)用的過程中，評(píng)價(jià)時(shí)間、力度、以及詳細(xì)開展的深度應(yīng)與組織的環(huán)境和平安要求相稱。例如，假設(shè)組織和它的資產(chǎn)大多數(shù)只需求一個(gè)低等到中等的平安要求，根本的風(fēng)險(xiǎn)評(píng)價(jià)方法就足夠了。假設(shè)平安要求更高，要求更詳細(xì)的和

12、專業(yè)的處置，那么就必需用一個(gè)詳細(xì)的風(fēng)險(xiǎn)評(píng)價(jià)方法。3.1根本的風(fēng)險(xiǎn)評(píng)價(jià)根本的風(fēng)險(xiǎn)評(píng)價(jià)是指運(yùn)用直接和簡易的方法到達(dá)根本的平安程度，就能滿足組織及其商業(yè)環(huán)境的一切要求。這種方法適用于商業(yè)運(yùn)作不是非常復(fù)雜的組織，并且組織對(duì)信息處置和網(wǎng)絡(luò)的依賴程度不高。這個(gè)方法包括對(duì)組織所思索的信息和財(cái)富平安要求的一個(gè)系統(tǒng)的評(píng)價(jià)，識(shí)別那些令人稱心的控制目的和滿足這些目的的一系列控制的選擇。根本風(fēng)險(xiǎn)評(píng)價(jià)方法有許多優(yōu)點(diǎn)，例如： * 風(fēng)險(xiǎn)評(píng)價(jià)所需資源最少，簡便易實(shí)施。* 同樣或類似的控制能被許多信息平安管理體系所采用，不需求耗費(fèi)很大的精神。假設(shè)一個(gè)組織的多個(gè)信息平安管理體系在一樣的環(huán)境里運(yùn)作，并且商業(yè)要求類似，這些控制可以提

13、供一個(gè)破費(fèi)有效的處理方案。這個(gè)方法的缺陷：* 假設(shè)平安程度被設(shè)置的太高，就能夠需求過多的費(fèi)用或控制過度；假設(shè)程度太低，對(duì)一些組織來講，能夠不會(huì)得到充分的平安；* 管理平安相關(guān)的改動(dòng)能夠有困難。例如，假設(shè)一個(gè)信息平安管理體系被晉級(jí)，評(píng)價(jià)最初的控制能否依然充分就有一定困難。3.2詳細(xì)的風(fēng)險(xiǎn)評(píng)價(jià)這個(gè)方法包括資產(chǎn)的詳細(xì)識(shí)別和估價(jià)，以及那些對(duì)資產(chǎn)的要挾和相關(guān)弱點(diǎn)程度的評(píng)價(jià)，上述結(jié)果被用于評(píng)價(jià)風(fēng)險(xiǎn)并隨后被用于平安控制的識(shí)別和選擇。 經(jīng)過識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受程度，來證明管理者所采用的平安控制是適當(dāng)?shù)?。詳?xì)的風(fēng)險(xiǎn)評(píng)價(jià)能夠是非常耗費(fèi)財(cái)力的徹底的過程，因此需求非常細(xì)致地制定被評(píng)價(jià)的信息系統(tǒng)范圍內(nèi)的商

14、務(wù)環(huán)境、運(yùn)作、信息和資產(chǎn)的邊境。它也是一個(gè)需求管理者繼續(xù)關(guān)注的方法。這一方法是將平安風(fēng)險(xiǎn)作為資產(chǎn)、要挾及薄弱點(diǎn)的函數(shù)來進(jìn)展識(shí)別與評(píng)價(jià)。根據(jù)被評(píng)價(jià)的風(fēng)險(xiǎn)，可以從有關(guān)平安管理規(guī)范中選擇平安控制。整個(gè)方法不同于上面的根本風(fēng)險(xiǎn)評(píng)價(jià)方法, 由于需求對(duì)資產(chǎn)、要挾和薄弱點(diǎn)進(jìn)展更為詳細(xì)的分析，且包括運(yùn)用：對(duì)資產(chǎn)闡明它們的價(jià)值，商業(yè)重要性、要挾闡明它們的嚴(yán)重性和薄弱點(diǎn)闡明有關(guān)它們的弱點(diǎn)和敏感性的程度或丈量進(jìn)展丈量與賦值；運(yùn)用風(fēng)險(xiǎn)評(píng)價(jià)定義的風(fēng)險(xiǎn)丈量方法完成風(fēng)險(xiǎn)丈量。詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)的優(yōu)點(diǎn)：一是獲得一個(gè)更準(zhǔn)確的平安風(fēng)險(xiǎn)的認(rèn)識(shí)，從而更為準(zhǔn)確地識(shí)別反映組織平安要求的平安程度；另一方面，可以從詳細(xì)的風(fēng)險(xiǎn)評(píng)價(jià)中獲得的額外信息使

15、與組織更改相關(guān)的平安管理受害。這個(gè)方法的缺陷是：它要破費(fèi)相當(dāng)?shù)臅r(shí)間、精神和技術(shù)去獲得可行的結(jié)果。 3.3結(jié)合評(píng)價(jià)方法此方法首先運(yùn)用根本的風(fēng)險(xiǎn)評(píng)價(jià)方法識(shí)別信息平安管理體系范圍內(nèi)具有潛在的高風(fēng)險(xiǎn)或?qū)ι虡I(yè)運(yùn)作來說極為關(guān)鍵的資產(chǎn)。根據(jù)根本的風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果，將信息平安管理體系范圍內(nèi)的資產(chǎn)分成兩類，一類需求運(yùn)用一個(gè)詳細(xì)的風(fēng)險(xiǎn)評(píng)價(jià)方法以到達(dá)適當(dāng)維護(hù)，另一類經(jīng)過根本的評(píng)價(jià)方法選擇的控制就足矣。這個(gè)方法將根本和詳細(xì)風(fēng)險(xiǎn)評(píng)價(jià)方法優(yōu)點(diǎn)結(jié)合起來，即節(jié)省評(píng)價(jià)所破費(fèi)的時(shí)間與精神，又能確保獲得一個(gè)全面系統(tǒng)的評(píng)價(jià)結(jié)果，而且，組織的資源與資金可以被運(yùn)用在最能發(fā)揚(yáng)作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)可以被預(yù)先關(guān)注。這個(gè)方法的缺陷：假設(shè)在高風(fēng)險(xiǎn)內(nèi)的信息系統(tǒng)的識(shí)別不正確，那么它能夠?qū)е洛e(cuò)誤的結(jié)果。4 風(fēng)險(xiǎn)評(píng)價(jià)/管理方法的選擇需求思索的要素組織可采取不同的風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)管理方法，一個(gè)方法能否適宜于特定組織有很多影響要素，包括：* 商務(wù)環(huán)境；* 商務(wù)性質(zhì)和重要性；